مهندسی اجتماعی و هک سازمان‌ها با فریب کارکنان

۱۴ خرداد ۱۴۰۵ | رضا فروزان | امنیت، آموزش، اینترنت، هک

مطالعات نشان داده‌اند که ۸۸ تا ۹۵ درصد از موارد هک سازمان‌ها و نقض داده به دلیل اشتباهات سهوی یا عمدی کارکنان هستند. هکرها از تکنیکی به نام مهندسی اجتماعی (social engineering) برای کنترل کردن یا فریب دادن کارکنان سازمان شما یا اثرگذاری روی آن‌‌ها استفاده می‌کنند تا به شبکه داخلی سازمان شما نفوذ کنند یا اطلاعات حساس را به سرقت ببرند.
در این مقاله به طور کامل برای شما توضیح می‌دهیم که مهندسی اجتماعی در امنیت سایبری چیست، چطور انجام می‌شود و چطور می‌توانید از سازمان خود در مقابله با اینگونه تهدیدات سایبری، محافظت کنید. با ما همراه باشید.

تعریف مهندسی اجتماعی

مهندسی اجتماعی (Social Engineering) تکنیکی در حوزه امنیت اطلاعات است که به تلاش برای تأثیرگذاری بر افراد با تکنیک‌های روانشناسی به منظور به دست آوردن اطلاعات حساس یا دسترسی به منابع اطلاعاتی می‌پردازد. در واقع، مهندسی اجتماعی بیشتر به فرآیندی اشاره دارد که هدف آن تغییر رفتار یا نگرش افراد، به جای استفاده از تکنیک‌ها و ابزارهای رایانه‌ای است تا بتوان از اشتباهات سهوی یا عمدی آن‌ها برای هک کردن یا نقض داده استفاده کرد.

حملات مهندسی اجتماعی توسط فرد یا گروهی انجام می‌شوند که تلاش می‌کنند تا از طریق مخاطبان هدف خود در سازمان شما به اطلاعات یا منابع حساس دسترسی پیدا کنند. این حملات ممکن است از طریق تماس تلفنی، ارسال ایمیل‌های فیشینگ یا حتی برقراری ارتباط مستقیم با فرد هدف انجام شوند.

سه مرحله اصلی مهندسی اجتماعی

اکثر حملات مهندسی اجتماعی شامل سه مرحله اصلی زیر هستند:

۱- انتخاب هدف

وقتی هکرها می‌خواهند با استفاده از تکنیک‌های مهندسی اجتماعی، سازمانی را هک کنند یا اطلاعات آن را به سرقت ببرند، در گام اول، یک یا چندین نفر از کارکنان سازمان را به عنوان هدف انتخاب می‌کنند. اهداف هکرها برای اجرای حملات مهندسی اجتماعی شامل موارد زیر می‌شود:

  • پرسنل دارای دسترسی سطح بالا به سیستم‌ها و اطلاعات حساس
  • پرسنل دارای پایین‌ترین میزان آگاهی از تهدیدات سایبری
  • پرسنل ناراضی و اخراج شده

معمولا، آن دسته از کارکنان سازمان‌ها که بیشترین دسترسی‌ها به سیستم‌ها و اطلاعات حساس را دارند، از آگاهی خوبی نسبت به تهدیدات سایبری برخوردار هستند و به سادگی در دام مهندسی اجتماعی نمی‌افتند اما مهندسی اجتماعی چنین اهدافی می‌تواند دسترسی‌ها و اطلاعات بسیار ارزشمندی را در اختیار هکرها قرار دهد و به همین دلیل، ممکن است که تیم‌های هکری، مدت زمان و منابع زیادی را صرف اجرای تکنیک‌های مهندسی اجتماعی بر روی چنین اهدافی کنند.

در مقابل، آن دسته از کارکنان سازمان‌ها که آگاهی کمتری نسبت به تهدیدات سایبری دارند و راحت‌تر در دام هکرها می‌افتند، از دسترسی‌های کمتری برخوردار هستند و بنابراین، هکرها زمان و هزینه زیادی به مهندسی اجتماعی آن‌ها اختصاص نمی‌دهند.

پرسنل ناراضی و اخراج شده نیز می‌توانند اهداف خوبی برای هکرها باشند زیرا به دلیل رضایت نداشتن از سازمان، انگیزه خوبی برای ضربه زدن به سازمان دارند و معمولا به راحتی می‌توان آن‌ها را ترغیب به همکاری برای هک کردن سازمان و نقض داده کرد.

۲- گردآوری اطلاعات

هکرها پس از انتخاب شخص هدف، گردآوری اطلاعات در رابطه با او را شروع می‌کنند. این مرحله می‌تواند به روش‌های مختلفی مثل تماس تلفنی، جعل هویت یا بررسی شبکه‌های اجتماعی انجام شود تا بیشترین میزان اطلاعات ممکن در رابطه با هدف به دست بیاید. هدف هکرها از گردآوری اطلاعات، مهندسی اجتماعی هدفمند است. برای مثال، اگر هکرها متوجه شوند که یکی از کارکنان سازمان شما به بازیگر خاصی علاقه دارد، ممکن است با ارسال ایمیل‌های حاوی لینک‌های بدافزاری ولی با عنوان خبری مرتبط با آن بازیگر، برای ترغیب هدف به کلیک کردن روی لینک مخرب، تلاش کنند.

۳- اجرای حمله

پس از شناسایی هدف یا اهداف بالقوه، حمله مهندسی اجتماعی با تکنیک‌هایی که در ادامه توضیح می‌دهیم، اجرا می‌شود.

مهم‌ترین تکنیک‌های social engineering

در مهندسی اجتماعی از تکنیک‌های متعددی استفاده می‌شود که در اینجا، بعضی از مهم‌ترین تکنیک‌ها را به شما معرفی می‌کنیم.

فیشینگ (Phishing)

در حملات فیشینگ، لینک‌های دانلود بدافزار یا لینک‌های صفحات جعلی ورود از طریق ایمیل، شبکه‌های اجتماعی یا پیامک برای شخص هدف ارسال می‌شوند. در این حملات سعی می‌کنند تا از علاقه‌مندی‌های شخص هدف، برای ترغیب کردن او به کلیک کردن بر روی این لینک‌های مخرب، استفاده کنند.

طعمه‌گذاری (Baiting)

در این تکنیک، هکرها سعی می‌کنند تا با وعده دادن، شخص هدف را فریب دهند و او را مرتکب اشتباهی امنیتی کنند. معمولا در این موارد، وعده‌هایی دروغین به شخص هدف داده می‌شود که می‌تواند مالی، عاطفی یا هر چیز دیگری باشد.

جعل هویت (Impersonating)

در این تکنیک، هکر تلاش می‌کند تا با جعل هویت (مثل جا زدن خودش به جای یکی از افراد رده بالای سازمان) به صورت تلفنی، آنلاین یا حتی حضوری، شخص هدف را تخلیه اطلاعاتی کند.

رهاسازی حافظه‌های USB در سازمان (USB Drops)

در این روش قدیمی، حافظه‌های USB حاوی بدافزار مثل فلش مموری‌ها در محیط سازمان رها می‌شوند تا شاید کارکنانی که آگاهی کافی نسبت به این نوع تهدید نداشته باشند، USB را به یکی از سیستم‌های سازمان متصل کند و بدافزار در شبکه سازمان منتشر شود و اقدامات مخرب را انجام دهد.

بهانه آوردن یا پریتکستینگ (pretexting)

در این تکنیک، هکر سناریویی برای فریب شخص هدف طراحی می‌کند تا او را فریب دهد و در اکثر موارد، شامل درخواست کمک است. برای مثال، اگر هکر بخواهد شماره تلفن همراه شخصی یکی از کارکنان سازمان را به دست بیاورد، می‌تواند با تظاهر به همراه نداشتن تلفن همراه و نیاز به تماس با شخصی دیگر، شخص هدف را ترغیب کند تا تلفن همراه خودش را برای تماس گرفتن در اختیارش بگذارد. تکنیک پریتکستینگ می‌تواند به گونه‌ای انجام شود که شخص هدف را ترغیب به اولین تماس با هکر کند.

هدف اصلی پریتکستینگ، جلب اعتماد مخاطب هدف برای تخلیه اطلاعاتی اون یا فریب دادن او جهت انجام یک اشتباه امنیتی است.

مقابله با مهندسی اجتماعی

سازمان‌ها باید برای دفع حملات مهندسی اجتماعی و به حداقل رساندن خسارت‌های آن‌ها سه اقدام زیر را انجام دهند:

  • تقویت سیستم‌های امنیتی و لایه‌های دفاعی: با افزایش لایه‌های دفاع سایبری، در صورتی که هکرها با مهندسی اجتماعی یکی از پرسنل سازمان شما، موفق به عبور از یک لایه دفاعی شوند، با لایه دفاعی دیگری برخورد خواهند کرد و بدین ترتیب، شانس نفوذ آن‌ها کاهش پیدا خواهند کرد. برای مثال، اگر از احراز هویت چند عاملی (2FA) استفاده کنید، در صورتی که هکر بتواند با مهندسی اجتماعی، گذرواژه و نام کاربری یکی از کارکنان را به دست آورد، باید روش دوم احراز هویت را نیز دور بزند که معمولا، کار بسیار دشواری است.
  • آموزش اصول امنیتی به کارکنان: همانطور که گفتیم، دلیل اصلی اکثر موارد هک سازمان‌ها و نقض داده، اشتباهات سهوی و عمدی کارکنان است. بنابراین، سازمان‌ها می‌توانند با برگزاری دوره‌های آموزش اصول امنیت سایبری، آگاهی کارکنان را نسبت به تهدیداتی مثل مهندسی اجتماعی بالا ببرند و احتمال به دام افتادن کارکنان در چنین تله‌هایی را کاهش دهند. همچنین، تبعات چنین اشتباهاتی باید برای کارکنان مشخص شود.

  • تست نفوذ مهندسی اجتماعی: تست نفوذ یکی از اصول امنیت سایبری است که هر سازمانی باید آن را به طور مرتب انجام دهد تا آسیب‌پذیری‌ها و حفرات امنیتی مشخص برطرف شوند. یکی از انواع تست نفوذ که معمولا مورد غفلت واقع می‌شود، تست نفوذ مهندسی اجتماعی است که در این روش، هکرهای کلاه سفید یا قانونی دارای وابستگی سازمانی به یک شرکت امنیت سایبری، با مجوز شما تکنیک‌های مهندسی اجتماعی را روی کارکنان سازمان شما اجرا می‌کنند تا آسیب‌پذیری کارکنان در مقابل چنین حملاتی مشخص شود.

سوالات پرتکرار

۱- منظور از مهندسی اجتماعی در امنیت سایبری چیست؟

استفاده از تکنیک‌های روانشناسی برای تخلیه اطلاعاتی مخاطب هدف یا فریب دادن او برای انجام دادن اشتباهات امنیتی را مهندسی اجتماعی می‌گویند.

۲- انواع حملات مهندسی اجتماعی کدامند؟

از مهم‌ترین انواع حملات مهندسی اجتماعی می‌توان به پریتکستینگ، فیشینگ، طعمه‌گذاری، جعل هویت و رهاسازی USBهای بدافزاری در محیط سازمان اشاره کرد.

۳- تست نفوذ مهندسی اجتماعی چیست؟

در این روش، هکرهای قانونی وابسته به یک شرکت امنیت سایبری ، تکنیک‌های مهندسی اجتماعی را روی کارکنان پیاده‌سازی می‌کنند تا میزان آسیب‌پذیری آن‌ها در مقابل حملات مهندسی اجتماعی مشخص شود.

لینک کوتاه : https://rezaforuzan.ir/71au

دیدگاه خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.